L’archivage électronique de données à caractère personnel Par Philippe Touitou, Avocat au Barreau de paris. Publié dans Mag Securs n°14, Janvier 2007. Les entreprises sont légalement tenues de conserver nombre de documents produits ou reçus dans l’exercice de leur activité. Par archivage électronique de données à caractère personnel, il convient d’entendre les pratiques de conservation d’informations directement ou indirectement nominatives, collectées, reçues, établies ou transformées sous forme électronique par toute personne physique ou morale dans l’exercice de son activité. Or, l’archivage électronique de données à caractère personnel constitue un traitement de données à caractère personnel soumis aux dispositions de la loi du 6 janvier 1978 dite « loi informatique et libertés ». Ceci a conduit la CNIL à adopter le 11 octobre 2005 une recommandation « concernant les modalités d’archivage électronique, dans le secteur privé, de données à caractère personnel » (Délibération CNIL n°2005-213 du 11 oct. 2005, JO n°272 du 23 novembre 2005. Disponible sur le site Internet de la CNIL : http://www.cnil.fr/index.php?id=1887&print=1).
Comme toutes les recommandations, celle-ci se limite à donner une interprétation de la loi du 6 janvier 1978 et édicte un certain nombre de mesures permettant d’assurer le respect de ses dispositions. ll n’y a dans la recommandation aucune injonction. Cependant, mieux vaut s’y conformer dans la mesure où la CNIL informe le procureur des infractions à la loi dont elle a connaissance, et qu’elle dispose également d’un pouvoir de sanction (articles 45 et suivants de la loi du 6 janvier 1978). A cet égard, il n’est pas inutile de rappeler que le non-respect des dispositions de la loi du 6 janvier 1978 est passible de sanctions pénales (articles 226-16 à 226-24 du code pénal).
La recommandation du 11 octobre 2005 s’applique aux archives courantes, intermédiaires et définitives, lesquelles sont ainsi définies :
Les archives courantes concernent les données d’utilisation courante par les services concernés dans les entreprises, organismes ou établissements privés (par exemple les données concernant un client dans le cadre de l’exécution d’un contrat) ;
Les archives intermédiaires portent sur les données qui présentent encore pour les services concernés un intérêt administratif, comme par exemple en cas de contentieux, et dont les durées de conservation sont fixées par les règles de prescription applicables ;
Les archives définitives sont exclusivement constituées des données présentant un intérêt historique, scientifique ou statistique justifiant qu’elles ne fassent l’objet d’aucune destruction.
Les archives courantes et intermédiaires doivent faire l’objet d’une déclaration à la CNIL, tandis que les archives définitives en sont en principe dispensées.
La durée de conservation : La CNIL rappelle que les archives courantes et définitives doivent répondre à « des durées de conservation spécifiques, proportionnées à la finalité poursuivie (en particulier au regard des durées de prescription définies par la réglementation commerciale, civile, ou fiscale) », qui sont précisées dans le dossier de déclaration à la CNIL.
Le responsable du traitement doit donc établir des procédures permettant de gérer des durées de conservation distinctes selon les catégories de données collectées, et d’effectuer, le cas échéant, toute purge ou destruction sélective de données à caractère personnel.
La sécurité des données : Rappelons que l’article 34 de la loi du 6 janvier 1978 dispose que : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Par ailleurs, l’article 35 de la loi prévoit que : « Les données à caractère personnel ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant, d’une personne agissant sous l’autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement (…). Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité (…).
Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement ».
La CNIL recommande que l’accès aux archives intermédiaires soit limité à un service spécifique (par exemple le service du contentieux) et qu’il soit procédé à un isolement des données archivées au moyen d’une séparation logique (gestion des droits d’accès et des habilitations).
Les archives définitives doivent être conservées sur un support indépendant, non accessible par les systèmes de production, n’autorisant qu’un accès distinct, ponctuel et précisément motivé, auprès d’un service spécifique, seul habilité à conserver ce type d’archives (par exemple la direction des archives de l’entreprise).
Dans tous les cas de figure, la CNIL conseille de recourir à un dispositif sécurisé permettant de garantir l’intégrité des données archivées lors de tout changement de support de stockage, ainsi que de mettre en œuvre un dispositif de traçabilité des consultations.
Le droit d’accès : Le droit d’accès est le droit, pour toute personne justifiant de son identité, d’interroger le responsable d’un fichier ou d’un traitement pour savoir s’il détient des informations sur elle, et le cas échéant d’en obtenir communication. (article 39 de la loi du 6 janvier 1978).
Les archives courantes et intermédiaires sont soumises au droit d’accès.
En principe, le responsable du traitement n’est pas tenu de donner suite aux demandes d’accès concernant des archives définitives, mais il doit dans ce cas, être en mesure de justifier que les moyens d’archivage employés sont de nature à exclure manifestement tout risque d’atteinte à la vie privée des personnes concernées.
La CNIL recommande d’utiliser des procédés d’anonymisation, en particulier, en cas de données sensibles. Sont considérées comme sensibles les données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci (article 8 de la loi du 6 janvier 1978).
La CNIL appelle donc les entreprises à définir dans le cadre de procédures formalisées, des règles d’archivage répondant à l’ensemble de ces préconisations. Elle précise que le responsable du traitement doit être en mesure de fournir une information sur ces règles, en cas de demande formulée par une personne faisant l’objet d’un traitement.
Il convient enfin de noter que le Forum des droits sur l’Internet a publié le 1er décembre 2005 une recommandation sur « La conservation électronique de documents » (Disponible sur : http://www.foruminternet.org/dossiers/dossier.phtml?id=73). Cette recommandation a pour objectif de favoriser le développement d’une pratique sûre de l’archivage électronique en entreprise en précisant notamment les modalités de conservation d’un document électronique à des fins de preuve.